GCP Solución segura
Implementación de infraestructura de red segura en GCP
Resumen
Este proyecto se enfoca en el diseño y despliegue de una arquitectura de red segura utilizando servicios de Google Cloud Platform (GCP). La solución establece una defensa multicapa para mitigar vectores de ataque comunes, garantizando la confidencialidad, integridad y disponibilidad de los datos y servicios. Demostrando la capacidad de transicionar arquitecturas de red tradicionales a entornos de nube escalables y gestionados.
Arquitectura de la solución
Esta solución está diseñada para proporcionar un entorno seguro y eficaz que permita a los usuarios acceder de manera segura a los recursos de la red interna a través de una VPN, al mismo tiempo protege la infraestructura de amenazas externas e internas.
Diagrama de arquitectura de nube
Arquitectura de red
La arquitectura de red se compone de tres subredes para proporcionar aislamiento de tráfico y limitar el acceso no autorizado, ayudando a proteger los activos críticos.
- WAN (Internet): Representa el entorno externo y el acceso público.
- DMZ (VPC Outside): Un segmento de red que aloja servidores accesibles desde Internet, protegido entre la red interna y la externa.
- LAN (VPC Inside): La red interna de confianza donde residen los servidores de uso interno.
- VPN (VPC VPN): Esta segmento de red está destinado a asignar direcciones IP a los usuarios de la VPN, facilitando la conectividad segura.
Componentes y tecnologías
-
Firewall (Google Cloud): Actúa como la primera línea de defensa, protegiendo la red contra el tráfico malicioso proveniente de Internet y controlando las comunicaciones generales de las VPCs.
-
Firewall IPS (FortiGate): Se utiliza para gestionar de forma granular el tráfico entre todas las subredes implementando políticas de seguridad más detalladas.
-
VPN (IPSec): Establece una conexión segura y cifrada para el acceso remoto a la red interna, protegiendo los datos en tránsito.
-
IDS (Snort): Se utiliza para monitorear y detectar posibles intrusiones y actividades maliciosas en tiempo real. Este sistema genera alertas y para informar amenazas detectadas.
-
Servidor de logs (Graylog): Se implementa un servidor dedicado para la visualización centralizada de los logs generados por el IDS (Snort), facilitando el análisis forense y el monitoreo de la seguridad.
-
Servidor de dominio (Samba4): Implementado para la gestión de usuarios y grupos, demostrando la capacidad de autenticación y control de acceso en un entorno de red.
-
Servidor web (Apache, MySQL, PHP): Destinado para alojar una aplicación web y una base de datos MySQL, con el objetivo de demostrar la protección contra ataques como la inyección SQL y el Cross-Site Scripting (XSS) mediante la configuración del firewall.
Componente clave: FortiGate NGFW
FortiGate Next-Generation Firewall aporta una capa de seguridad especializada que va más allá de un simple firewall, reforzando la defensa de la red de manera granular y avanzada.
- Sistema de prevención de intrusiones (IPS): FortiGate utiliza firmas para detectar y bloquear en tiempo real exploits y comportamientos maliciosos, complementando a Snort al prevenir activamente las amenazas.
- Antivirus y antimalware: Esta funcionalidad inspecciona el tráfico de red en busca de malware, virus y troyanos para evitar su propagación entre subredes.
- Web Application Firewall (WAF): Aunque el servidor web esté en la zona WAN, el WAF de FortiGate es crucial para proteger las aplicaciones de ataques comunes como inyección SQL y XSS a nivel de aplicación.
- Filtrado web y de contenido: Permite controlar el acceso a sitios web basándose en categorías, reputación y firmas maliciosas para evitar conexiones a sitios de comando y control de malware.
- Análisis de tráfico y detección de amenazas: Analiza el comportamiento del tráfico para identificar anomalías y patrones inusuales que puedan indicar ataques de día cero o nuevas técnicas.
- Control de aplicaciones: Identifica miles de aplicaciones, incluso si usan puertos no estándar, para darte un control granular sobre el uso de aplicaciones específicas en tu red.
- Reporting y monitoreo detallado: Genera informes y logs detallados sobre el tráfico y los eventos de seguridad, facilitando el análisis forense y la auditoría.
- Defensa de amenazas unificada (UTM): Combina múltiples funcionalidades de seguridad en una sola plataforma, simplificando la gestión y permitiendo que las diferentes capas de defensa compartan inteligencia sobre amenazas para una protección más coordinada.
Implementación de infraestructura y configuraciones
Se incluyen capturas de la implementación y configuraciones más importantes para el funcionamiento correcto de la solución.
Redes de VPC
Subredes
Direccionamiento IP
| Subred | Rango de IPs | Componente | Interfaz |
|---|---|---|---|
| LAN | 192.168.11.0/24 | Servidor de dominio | Nic0 |
| Servidor web | Nic0 | ||
| Servidor de archivos | Nic0 | ||
| Servidor de logs | Nic0 | ||
| Firewall FortiGate | Nic1 | ||
| DMZ | 192.168.10.0/24 | Servidor VPN e IDS | Nic0 |
| Firewall FortiGate | Nic0 | ||
| VPN | 192.168.43.0/24 | Firewall FortiGate | Nic2 |
Configuración de conexiones de VPC a través de políticas de Firewall
| Origen | Destino | Política |
|---|---|---|
| Google Cloud Firewall | ||
| Internet (WAN) | VPC Outside (DMZ) | Permitido |
| Internet (WAN) | VPC Inside 1 (LAN) | Denegado |
| Internet (WAN) | VPC VPN (VPN) | Denegado |
| FortiGate NGFW | ||
| VPC Outside (DMZ) | VPC Inside 1 (LAN) | Permitido |
| VPC Outside (DMZ) | VPC VPN (VPN) | Permitido |
| VPC Outside (DMZ) | Internet (WAN) | Permitido |
| VPC Inside 1 (LAN) | VPC VPN (VPN) | Denegado |
| VPC Inside 1 (LAN) | Internet (WAN) | Permitido |
| VPC Inside 1 (LAN) | VPC Outside (DMZ) | Permitido |
| VPC VPN (VPN) | Internet (WAN) | Permitido |
| VPC VPN (VPN) | VPC Outside (DMZ) | Permitido |
| VPC VPN (VPN) | VPC Inside 1 (LAN) | Permitido |
Políticas de Firewall de VCP
Rutas creadas
Instancias de VM
Interfaces configuradas dentro de FortiGate
Rutas estáticas configuradas dentro de FortiGate
Prueba externa de ping masivo
Simulación de ataques internos
Escaneo de puertos y detección de SO a VM
Ataques DDOS y SYN Flooding a VMs de red LAN
Intento de reconocer hosts conectados a la red
Visualizar logs de eventos en consola de FortiGate
Visualizar métricas de eventos en Graylog
Resultados y logros destacados
- Mitigación de ataques: La solución demostró ser efectiva en la mitigación de diversos ataques cibernéticos, incluyendo DDoS, SYN Flooding, y Spoofing, mediante las configuraciones de firewall e IDS/IPS.
- Defensa en profundidad: La combinación de Google Cloud Firewall, FortiGate, VPN IPSec, IDS, servidor de logs y segmentación de red creó una estrategia de defensa en capas, fortaleciendo la seguridad general de la infraestructura en la nube.
- Acceso remoto seguro: La implementación de la VPN IPSec garantizó que los usuarios pudieran acceder a los recursos internos de forma segura desde ubicaciones externas.
- Monitoreo y visibilidad: La implementación de un servidor de logs y la interfaz de firewall FortiGate permitieron un monitoreo exhaustivo y una respuesta proactiva ante incidentes de seguridad, proporcionando una visibilidad completa del tráfico de la red.